Topo

Menina gosta de ciência, diz brasileira premiada no combate a crime virtual

Cristine Hoepers é gerente geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) - Divulgação/NIC.br
Cristine Hoepers é gerente geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) Imagem: Divulgação/NIC.br

Janaina Garcia

Colaboração para Tilt

03/05/2020 04h00

Sem tempo, irmão

  • Brasileira é doutora em TI e foi premiada em evento com gigantes da tecnologia nos EUA
  • Ela realiza pesquisa e treinamento para a redução de abusos na internet
  • Hoepers falou que o perfil dos criminosos online é variado ? e os ataques, indiscriminados
  • A condição de gênero não a define: "não ter preconceito é aceitar as diferenças", diz

Uma das maiores especialistas em tecnologia da informação no mundo é do Brasil. Cristine Hoepers teve seu trabalho reconhecido pela M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group), a maior associação mundial de luta contra o abuso online contra usuários.

Ela foi a contemplada na décima edição do prêmio anual Mary Litynski, que homenageia a memória da mulher que ajudou a fortalecer o trabalho da M3AAWG, que investiga de malware a ataques à segurança eleitoral. O prêmio foi concedido no final de fevereiro em São Francisco, na Califórnia.

Embora seja uma mulher em um cenário predominantemente masculino, como a tecnologia da informação, a brasileira não faz coro às feministas que defendem equidade de gênero no mercado de trabalho.

"A primeira coisa é assumir que, sim, homens e mulheres são diferentes. Para mim não ter preconceito é aceitar as diferenças, e não lutar por igualdade de comportamentos", diz.

Por outro lado, a cientista afirma: é em casa, e não no mercado, onde as lições de conquista de espaços precisam começar. "Precisamos de mães e pais que não coloquem medo nas meninas. As meninas gostam de ciência; são os adultos que criam os estereótipos", afirma.

Atualmente, Hoepers é gerente geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido desde 1999 pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br). Na organização sem fins lucrativos, ela desenvolve pesquisa e treinamento para a redução de abusos na internet.

Nesta entrevista a Tilt, a cientista, que é também doutora em computação aplicada pelo Inpe (Instituto Nacional de Pesquisas Espaciais), em São José dos Campos (SP), explica também por que o Brasil ainda é vulnerável a ataques virtuais. Um spoiler: o grau de escolaridade que nos separa de países com menos ataques, como Áustria e Finlândia, faz toda a diferença.

Tilt: Como a senhora avalia o nível de segurança da informação no Brasil hoje no contexto mundial e/ou da América Latina?

Cristine Hoepers: A internet é global, e os problemas também são —incluindo o mais importante em todos os países: falta de mão de obra qualificada. O foco em treinar profissionais de segurança deveria ser um segundo passo, porque a maior falta que temos hoje é de profissionais que compreendam profundamente os protocolos de internet e que sejam bons administradores de sistemas conectados à internet.

A maior parte dos ataques tem uma destas origens:

  • Sistemas instalados sem as configurações corretas de segurança;
  • Sistemas que são instalados corretamente da primeira vez, mas não são mantidos atualizados;
  • Erros humanos cometidos durante a configuração dos sistemas.

Esta última tem sido bastante divulgada nos últimos anos; basta fazer uma retrospectiva da quantidade de casos de vazamentos de dados cuja causa foi a configuração errada dos mecanismos de segurança de sistemas na nuvem.

Mas, no Brasil, algo que é similar à América Latina e a outros países em desenvolvimento é a prevalência de equipamentos de baixo custo que não oferecem a possibilidade de atualizações. Aqui, estamos falando de dispositivos IoT, roteadores wi-fi e até smartphones.

O caso dos smartphones ficou bastante evidente no episódio do último ano, quando muitos celulares entraram em horário de verão indevidamente. Isso foi consequência das políticas dos fabricantes de não oferecer atualizações. Essa é uma informação que é atualizada nos sistemas.

Se tivesse que recomendar uma política pública a todos os países seria: só permitir a venda de dispositivos que tenham um ciclo claro de atualizações e que tenham um contato claro para que terceiros possam reportar vulnerabilidades.

Tilt: Em geral, há um perfil de quem é mais vulnerável a ataques no Brasil? Empresas privadas, instituições públicas, pessoas físicas?

CP: Todos possuem vulnerabilidades, e muitas categorias de ataques não discriminam o alvo. Há um mito na mente das pessoas de que seria necessário ser uma figura pública ou uma empresa grande para ser alvo de ataque. A maior parte dos ataques é indiscriminada. Os atacantes disparam as ferramentas e varrem cada um dos endereços IP da internet; quem estiver vulnerável, será comprometido. É assim que funcionam os ataques contra a Internet das Coisas, por exemplo.

Contra pessoas físicas é muito similar. Em geral os ataques vêm via email ou mensagens em aplicativos, ou até mesmo via SMS. Mas o atacante não conhece a pessoa: o que ele espera é que alguma porcentagem dos que receberem as mensagens vão cair.

O que realmente preocupa no cenário nacional são os dispositivos que não podem ser atualizados. Se você tem um celular que nunca recebeu uma atualização de segurança, com certeza você está mais vulnerável.

Cibersegurança - Gerd Altmann/ Pixabay - Gerd Altmann/ Pixabay
Imagem: Gerd Altmann/ Pixabay

Tilt: Usuários de WhatsApp têm sido vítimas de ataques cada vez mais convincentes, e bots em plataformas digitais são uma realidade. A segurança da informação no Brasil é tratada também de forma preventiva ou mais para se remediar um mal?

CP: É um problema bastante complexo e está muito relacionado com questões psicológicas, de como as pessoas percebem risco. E, também, não podemos esquecer que não há segurança perfeita. O que podemos é tentar reduzir o risco. Isso vale para empresas e para pessoas físicas.

As pessoas escolhem conveniência acima de outras características. Não há nenhuma característica nos aplicativos de mensagens que possa garantir que você esteja falando com a pessoa certa. Esse tipo de tecnologia não é adequado para realizar negócios.

Os ataques são, no fundo, a boa e velha engenharia social, porém somada com o sequestro de uma conta de aplicativo. Note que isso sempre aconteceu por email também —e esses ataques são bastante prevalentes no meio empresarial. Os atacantes conseguem a senha de um email corporativo, ficam um tempo lendo as mensagens e começam a tentar convencer colegas [da vítima] a fazer coisas que possam dar lucro ao atacante.

O mais importante é que todos precisam fazer parte da segurança. Minhas recomendações:

  • Pense no seu comportamento: desconfie de mensagens pedindo coisas ou oferecendo coisas. Cheque os fatos antes de agir. Por exemplo, se receber uma mensagem de um amigo pedindo dinheiro, cheque antes de agir, mas cheque por outro meio (por telefone, por e-mail, pessoalmente).
  • Invista um tempo para aprender os mecanismos de segurança do serviço: veja se tem como ativar múltiplos fatores de autenticação, pelo menos para usar em novos dispositivos (senha + pin, senha + token, etc). Também vale checar de tempos em tempos quantos dispositivos estão associados à sua conta, e desautorizar os que você não reconhece -- alguns serviços permitem isso.

Tilt: Há diferenças entre o Brasil e países em que a segurança avançou mais rapidamente?

CP: Há alguns países com menores taxas de infecção por malware, como Áustria e Finlândia, por exemplo, e a maior diferença observável é: há neles, uma grande taxa de instalação de atualizações nos dispositivos, de modo que é raro ter um computador sem updates ou um celular desatualizado.

Outra hipótese é que estes são países com uma escolaridade muito alta, o que pode levar a uma facilidade dos usuários de seguir passos mais complexos para proteção online.

Tilt: Que país pode ser considerado o mais seguro para o tráfego de informações?

CP: Aqui gostaria de discutir um pouco de semântica. Nenhum país é seguro para "tráfego" de informações. Note que é por isso que é essencial o uso de criptografia fim a fim. Quem pode garantir a segurança do tráfego é você, ao escolher somente serviços que utilizem criptografia.

Outro ponto importante: a maioria absoluta dos ataques acontece na ponta —ou seja, o ataque é contra o seu dispositivo ou contra o servidor. Para proteção, o que se pode fazer é:

  • Configurar corretamente e ativar mecanismos de segurança
  • Manter o sistema e todos os aplicativos atualizados
  • Atentar para o comportamento: não adianta ter feito os dois itens anteriores se você clicar em todos os links que recebe, instalar aplicativos que não conhece a origem e acreditar em todas as mensagens que receber.

Ataque hacker segurança internet dados - kalhh/ Pixabay - kalhh/ Pixabay
Imagem: kalhh/ Pixabay

Tilt: Houve alguma situação que mais a marcou como uma mulher atuando com tecnologia da informação? Já enfrentou episódios de machismo?

CP: Ser mulher nunca fez diferença. Nunca pensei nisso, nem no colégio ou na faculdade. Talvez isso seja a diferença. Quando converso com mulheres que sentem essas diferenças, em geral elas se sentem inibidas e têm medo.

A primeira coisa é assumir que, sim, homens e mulheres são diferentes.

E eu sempre me interessei em conversar com todos. Sempre tive um círculo grande de amigos homens, em todas as fases da vida, e foi sempre superdivertido. Quando vinham à tona as diferenças de comportamento, a discussão era leve, e no fundo mais nos divertíamos com isso do que ficávamos tentando mudar ou recriminar comportamentos. Para mim não ter preconceito é aceitar as diferenças, e não lutar por igualdade de comportamentos.

Tilt: O prêmio do M3AAWG reuniu representantes de centenas de organizações-membros, como AT&T, Comcast, Google, Microsoft, Orange, Twitter e Verizon —todas lideradas por executivos homens. Acredita ser possível, algum dia, ver mulheres nesses postos?

CP: Talvez daqui a algumas gerações. Note que há realmente menos mulheres fazendo cursos das áreas de computação e engenharia. Só teremos mais mulheres em postos como esses quando tivermos mais mulheres se graduando nessas áreas. E para ter mais mulheres nessas áreas, a mudança precisa ser lá na pré-escola e, principalmente, em casa.

Precisamos de mães e pais que não coloquem medo nas meninas. As meninas gostam de ciência, são os adultos que criam os estereótipos.

Só o que existem por aí são teorias de por que teria mais homens em ciências, e mais mulheres em profissões como psicologia e enfermagem. Talvez isso seja até natural, mas a verdade é que ninguém sabe.

Ainda essa semana, vi uma pesquisa que falava que 50% dos homens ajudavam nas tarefas da casa. Um número tão baixo é um absurdo e é gerado pela educação em casa, em geral por mães que "poupam" os meninos de afazeres domésticos. Na minha casa não tinha diferença nenhuma entre o que eu ou os meus irmãos homens tinham que fazer. Quando isso é normal na sua casa, você não pensa nisso em outros contextos.

Eu acredito em crescimento por mérito, por isso não paro de estudar e aprender nenhum dia na minha vida. Enquanto o número total de mulheres que se graduam for menor, estatisticamente será menor o número de mulheres capacitadas a assumirem postos mais altos. Em minha opinião, tentar forçar a mão não ajuda em nada e, aí sim, gera preconceitos.